DKIMキーローテーションとは、あなたのDKIMキーを更新するプロセスです。正確な期間は重要ではありませんが、そのプロセス自体は重要です。なぜそうする必要があるのでしょうか?鍵のローテーションとは、新しい鍵を作成し、その新しい鍵でDNSレコードを更新することです。DKIMキーをローテーションする目的は、パスワードを定期的に変更する理由と似ています。これは、攻撃者があなたのドメインになりすまし、スパムやフィッシングメールを送信するのを防ぐためのセキュリティ対策です。
そもそも、なぜDKIMキーを使うのかを見てみましょう。
なぜDKIMキーを使用するのですか?
DKIMは、DomainKeys Identified Mailの略です。これは、あなたの電子メールサーバーにセキュリティの追加レイヤーを追加する方法で、あなたの電子メールがスパムとしてフラグを立てられ、スパムフォルダーに入ってしまわないようにするためです。DKIMについて考える最も良い方法は、メッセージに付けられた暗号化された識別子として、受信者がそのメッセージが実際にあなたから送られたものであることを確認できるようにする、というものです。この識別子、またはキーは、受信者がそれを確認することができるものです。
DKIMはどのように機能するのですか?
DKIMは、送信される各Eメールにこの識別子を追加することで機能します。誰かがこれらの電子メールを受信すると、メッセージのヘッダーまたはフッターをチェックし、数字と文字の文字列を見つけることができます。電子メールが受信者に送信される前に、送信者の電子メールサーバーはすべての電子メールにデジタル署名し、受信側の電子メールサーバーがそれを検証する。このプロセスにより、電子メールが何らかの形で改ざんされていないことが証明されます。
電子メールを送信すると、署名はメッセージの末尾にヘッダーとして添付されます。受信サーバーは、公開鍵(DNSレコードを通じてドメイン所有者から提供される)を使用して、これらの署名を解読・検証します。
なぜDKIMキーローテーションがドメインのセキュリティに重要なのですか?
DKIMキーローテーションとは、メッセージの署名と認証に新しい秘密鍵/公開鍵ペアを使い始め、その後古い秘密鍵/公開鍵ペアの使用を止めることです。
なぜこれが重要なのか?もし誰かがあなたの秘密鍵にアクセスすることができたら、それを使ってあなたに見せかけた詐欺メールを送ることができるのです。このような悪質な行為を防ぐには、数ヶ月ごとに鍵を交換するのがベストです。
DKIMキーローテーションの重要性をより理解するために、この例を見てみましょう。
例えば、あなたのお店でホリデーセールのためのメールキャンペーンを行ったとします。その際、DKIMキーを使って署名しますが、同じキーペアを使ったメールを何度も送信すると、各メッセージが同じ暗号ハッシュアルゴリズムを使っているため、悪質業者はいずれそのうちの一つを傍受して解読してしまうかもしれません。一度、あなたの公開鍵を手に入れたら、あなたに知られることなく、その鍵でフィッシングメールを署名し始めることができるのです!そのため、定期的なDKIM鍵のローテーションは、あなたのドメインのセキュリティにとって非常に重要なのです。
DKIMキーのローテーションはどのように行うのですか?
1.手動によるDKIMキーのローテーション
あなたのドメインに新しいキーを作成することで、DKIMキーを時々手動で回転させることができます。これを行うには、次の手順に従います。
- 私たちの無料の DKIMレコードジェネレーターツール
- ドメインの情報を入力し、ご希望のDKIMセレクタを入力してください。
- 生成 "ボタンを押す
- 新しいDKIMキーのペアをコピーします。
- 公開鍵はDNSで公開され、以前のレコードを置き換えます。
- 秘密鍵は、ESPと共有するか(メールをアウトソーシングしている場合)、メールサーバーにアップロードします(メールの転送をオンプレミスで処理している場合)。
2.サブドメインDKIM鍵の委譲
ドメイン所有者は、第三者にDKIMキーローテーションを処理させることで、アウトソーシングすることができます。これは、ドメインの所有者が電子メールベンダーに専用のサブドメインを委任し、彼らに代わってDKIMキーペアを生成するよう依頼する場合です。これにより、所有者は、第三者に責任を委託することで、DKIMキーローテーションの手間を省くことができます。
しかし、これはDMARCエントリーのポリシーオーバーライドの問題を引き起こす可能性がある。円滑でエラーのない展開を確実にするために、ローテートされた鍵はドメインコントローラーによって監視され、確認されることが推奨される。
3.DKIM CNAME鍵の委譲
CNAMEはcanonical nameの略で、外部ドメインのデータを指すために使用されるDNSレコードです。CNAME委任により、ドメイン所有者は外部のサードパーティによって維持されているDKIMレコード情報を指すことができます。これはサブドメイン委任と似ていて、ドメイン所有者は自分のDNSにいくつかのCNAMEレコードを公開するだけでよく、DKIMインフラストラクチャとDKIMキーローテーションはレコードが指すサードパーティによって処理されるためです。
例えば、こんな感じです。
"domain.com "は発信元メールの署名が必要なドメイン、"third-party.com "は署名処理を行うベンダーを表します。
s1._domainkey.domain.com CNAME s1.domain.com.third-party.com
上記のCNAMEレコードは、ドメイン所有者のDNSで公開される必要があります。
さて、s1.domain.com.third-party.comはすでにそのDNSでDKIMレコードを公開しており、これは次のようになる。 s1.domain.com.third-party.com TXT "v=DKIM1; p=MIG89hdg599......"。
この情報は、domain.comから発信される電子メールに署名するために使用されます。
備考: 複数の 複数のDKIMレコード(推奨: 少なくとも3つのCNAMEレコード)をDNS上で公開し、DKIMキーローテーションを可能にする必要があります。これにより、ベンダーは署名中に鍵を切り替えることができ、代替オプションを提供することができます。
4.DKIMキーの自動ローテーション
ほとんどのメールベンダーとサードパーティメールサービスプロバイダーは、顧客向けにDKIMキーの自動ローテーションを可能にしています。例えば、メールのルーティングにOffice 365を使用している場合、MicrosoftがOffice 365のユーザー向けにDKIMキーの自動ローテーションをサポートしていることを知れば、嬉しくなるでしょう。
Office 365の電子メールに対してDKIMキーローテーションを有効にする方法については、ナレッジベースで完全なドキュメントをカバーしています。
DKIMキーの自動ローテーションのメリット
- DKIMキーの自動ローテーションを許可しているベンダーであれば、あなたは何もする必要がありません。すべてベンダーが管理します。
- 手動で設定するため、ヒューマンエラーが発生しやすい。
- 自動キーローテーションは、高速かつ効果的で、お客様の手を煩わせることはありません。
- DKIMの管理体制は完全にアウトソーシングされており、第三者が担当しています。
DKIMキーローテーション戦略の導入
私たちはこれを"DKIMキーローテーションの3つのD":
- 議論する
- 決定する
- デプロイ
これが、あなたのドメインのための効果的なDKIMキーローテーションストラテジーを要約したものです。電子メールのためにサードパーティーのサービスを利用していて、ベンダーがローテーションを処理している場合、いつ、どれくらいの頻度で鍵をローテーションしたいかについて、オープンで透明性のある話し合いが行われていることを確認する。鍵のローテーションのタイミングや、選択鍵のサイズ(1024ビットと2048ビットのどちらがより安全か)についても発言権を持つ必要があります。
話し合いの段階を経て、お客様とベンダーがお互いにどのような戦略をとるかを決め、最終的に導入を進める必要があります。
